酷米网(kmw.com),专注高端域名快速交易!

  1. 当前位置: 
  2. 首页 > 
  3. 域名资讯  > 关于windows2003主域控及额外域控的实践
服务器时间:2018-06-25 18:11:11 (CST +08:00)

关于windows2003主域控及额外域控的实践

2017-12-17 17:14:40     浏览量: 69

关于windows2003主域控及额外域控的实践 服务器规划

主域控制器

dcserver.qhsbd.com.cn DNS

操作系统:Microsoft Windows Server 2003 网卡信息:IP :192.168.1.10/24

首选DNS :192.168.1.10

备用DNS :192.168.1.11

额外域控制器

dcbak.qhsbd.com.cn DNS

操作系统:Microsoft Windows Server 2003 网卡信息:IP :192.168.1.11/24

首选DNS :192.168.1.11

备用DNS :192.168.1.10

一、额外域控制器安装及相关设置

在做额外域控的机器上运行DCPROMO ,安装额外域控制器。 安装完毕后,重启。

1、在dcserver 主域控器DNS 管理界面里

,

1)选中正向区域的“_msdcs.qhsbd.com.cn“,点右键属性,确认区域类型: “Active Director 集成区域”;更改区域复制范围为“至Active Directory 域中的所有域控制器”确认动态更新为“安全”

2)再“名称服务器”标签中,将额外域控制器全域名及IP 添加进来

3)在“区域复制”标签中,将“允许区域复制”打勾,并点选“只有在“名称服务器”选项卡中列出的服务器”这项。

4) 依次在“qhsbd.com.cn ”和反向查找区域“192.168.1.x. subnet ”做以上各步履,在主域DNS 服务器设置完成。

2、在额外域控制器上安装DNS 服务(升级额外域控时未配置DNS 服务)安装完毕,打开DNS 管理器界面(相关设定应该自动复制完毕),再将各区域设置为“允许区域复制”。

3、将主域控及额外域控主DNS 设为本机IP ,备用DNS 地址互指。

4、将额外域控制器dcbak 本身设为“全局编录”

打开“Active Directory 站点和服务”,点选DCBAK ->NTDS右击属性 ,将“全局编录”打勾,点确定退出。

5、客户端还需要将主备dns 地址填上主域控及额外域控的地址(可通过组策略中登陆脚本实现客户端DNS 地址添加)

至此,主域控与额外域控可负载均衡(应该是这么叫吧),若一个域控损坏,客户端登陆不受影响。

,

二、主域控制器FSMO 角色的迁移

目的:若当前主域控制器在线,且因性能不佳或需更换硬件,为了不影响exchange server正常使用,需要将主域控制器FSMO 迁移至额外域控制器.

1、 Active Directory 定义了 5 种 FSMO 角色:架构主机、域主机、RID 主机、PDC 模拟器和结构主机。架构主机和域命名主机是每个目录林都具有的角色。其余三种角色(RID 主机、PDC 模拟器和结构主机)是每个域都具有的角色。

查询FSMO 角色所属域控制器方法:

a. 安装netdom 工具,在windows 2003安装盘-〉support 目录->tools目录下,安装完毕重启机器。

b. 在命令行中输入netdom query fsmo ,查询当前5种fsmo 所属域控制器:

chema owner dcserver.qhsbd.com.cn

Domain role owner dcserver.qhsbd.com.cn

PDC role dcserver.qhsbd.com.cn

RID pool manager dcserver.qhsbd.com.cn

Infrastructure owner dcserver.qhsbd.com.cn

2、RID (RID pool manager )、PDC (PDC role )和结构主机(Infrastructure owner )的角色转移

在额外域控制器DCbak 上:

a. 单击开始,指向程序,指向管理工具,然后单击“Active Directory

,

用户和计算机”。

b. 右键单击域名"qhsbd.com.cn" ,然后单击操作主机。

c. 在更改操作主机对话框中,单击要转移的角色对应的选项卡(RID 、PDC 或结构)。

d. 单击更改操作主机对话框中的更改。

e. 单击确定以确认您想转移的角色。

f. 单击确定。

3、转移域命名主机角色(Domain role owner)

在额外域控制器DCbak 上:

a.单击开始,指向程序,指向管理工具,然后单击“Active Directory 域和信任关系”。

b.右键单击“Active Directory 域和信任关系”,然后单击操作主机。

c.在更改操作主机对话框中,单击更改。

d.单击确定以确认您想转移的角色。

e.单击确定。

4. 转移架构主机角色(chema owner)

在额外域控制器DCbak 上:

a. 单击开始,然后单击运行。

b. 键入 regsvr32 schmmgmt.dll ,然后单击确定。应显示出一条指出注册成功的消息。

c. 单击开始,单击运行,键入 mmc,然后单击确定。

,

d. 在控制台菜单上,单击“添加/删除管理单元”。

e. 单击添加。

f. 单击 Active Directory 架构。

g. 单击添加。

h. 单击关闭以关闭添加独立管理单元对话框。

i. 单击确定以将此管理单元添加到控制台。

j. 单击 更改域控制器,键入额外域控制器的名称dcbak ,然后单击确定。 k. 右键单击 Active Directory 架构,然后单击操作主机。 l. 在更改架构主机对话框中,单击更改。

m. 单击确定。

n. 单击确定。

o. 单击取消关闭对话框。

5、验证当前FSMO 角色所属是否为额外域控制器

在命令行里,输入netdom query fsmo

chema owner dcbak.qhsbd.com.cn

Domain role owner dcbak.qhsbd.com.cn

PDC role dcbak.qhsbd.com.cn

RID pool manager dcbak.qhsbd.com.cn

Infrastructure owner dcbak.qhsbd.com.cn

至此 5种FSMO 角色转移成功,关闭主域控制器,exhcange 运行正常。

AD 不能复制,手工复制时提示目标主要名称不正确

,

1、在问题域上禁用Kerberos 服务重器,

2、运行netdom resetpwd /server:服务器名 /userd:域名�ministrator /passwordd:密

3、再次复制提示超过tombstone 生存时间 ,

4、修改注册表HKLMSystemCurrentControlSetServicesNTDSParameters中增加DWord 值Allow Replication With Divergent and Corrupt Partner, 设置为1。

5、再次复制提示目标服务器目前拒绝复制请求

6、启用Kerberos 服务重启

7、自动同步成功